Примечание. Эта проблема выглядит как очень распространенный сценарий, но на удивление я не могу найти существующее решение в Google.
Проблема:
В компании существует несколько групп AD.
Существует приложение, которое может получить доступ к небольшому подмножеству таблиц в одной из баз данных и выполнить в нем некоторые хранимые процедуры.
Приложение должно быть доступно только пользователям, принадлежащим к определенным группам AD.
Что я сделал до сих пор:
- Создана роль БД для этого приложения.
- Предоставил роли доступ к необходимым таблицам / процедурам.
- В эту роль добавлены отдельные пользователи AD.
Пока все хорошо. Люди используют приложение, все работает как положено.
Теперь, вместо того, чтобы добавлять отдельных пользователей AD (что отлично подходит для тестирования, но не так велико, когда число пользователей увеличивается в 10 или 100 раз), мне нужно основывать это на группах AD.
Таким образом, желаемое решение состоит в том, чтобы некоторые группы AD были сопоставлены с ролью БД, чтобы члены любой из этих групп могли использовать приложение.
(Бонус: я не только упрощаю здесь свою модель доступа, но и перекладываю управление разрешениями на тех, кто присматривает за членством в AD).
Любые советы приветствуются.